6.11. Avaliar a conformidade de segurança de um recipiente ou de uma imagem de recipiente com uma linha de base específica
Siga estas etapas para avaliar a conformidade de seu container ou de uma imagem de container com uma linha de base de segurança específica, como o Perfil de Proteção do Sistema Operacional (OSPP) ou a Norma de Segurança de Dados da Indústria de Cartões de Pagamento (PCI-DSS).
O comando oscap-podman está disponível em RHEL 8.2. Para o RHEL 8.1 e 8.0, use a alternativa descrita no artigo Usando OpenSCAP para escanear recipientes no artigo da Base de Conhecimento RHEL 8.
Pré-requisitos
-
Os pacotes
openscap-utilsescap-security-guideestão instalados.
Procedimento
Obter a identificação de um recipiente ou uma imagem de um recipiente, por exemplo:
# podman images REPOSITORY TAG IMAGE ID CREATED SIZE registry.access.redhat.com/ubi8/ubi latest 096cae65a207 7 weeks ago 239 MBAvalie a conformidade da imagem do recipiente com o perfil OSPP e salve os resultados da varredura no arquivo HTML report.html
# oscap-podman 096cae65a207 xccdf eval --report report.html --profile ospp /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xmlSubstitua 096cae65a207 pela ID de sua imagem do contêiner e o valor ospp por pci-dss se você avaliar a conformidade de segurança com a linha de base PCI-DSS. Observe que o comando
oscap-podmanrequer privilégios de root.
Etapas de verificação
Verifique os resultados em um navegador à sua escolha, por exemplo:
$ firefox report.html &
As regras marcadas como notapplicable são regras que não se aplicam a sistemas em contêineres. Estas regras se aplicam somente a sistemas de metal nulo e virtualizados.
Recursos adicionais
-
Para mais informações, consulte as páginas de manual
oscap-podman(8)escap-security-guide(8). -
A documentação
SCAP Security Guideinstalada nofile:///usr/share/doc/scap-security-guide/diretório.
